Al instalar un nuevo entorno creado alrededor de Windows Server 2016 que tiene algunos de los servidores en una red que no puede acceder a Internet, instalamos Windows Server Update Services (WSUS) en uno de los servidores que tiene dos tarjetas de red (NICed dual). ) una de las NIC puede acceder a Internet para descargar actualizaciones y suministrarlas al resto de los servidores A TRAVÉS de la otra NIC (que está configurada específicamente para NO enrutar el tráfico). Una vez configuradas, todas las máquinas informaron al servidor WSUS, pero nunca descargaron actualizaciones.
Finalmente encontramos la política "No permitir que las políticas de aplazamiento de actualizaciones provoquen análisis en Windows Update" que habilitamos y que obligó a los servidores y estaciones de trabajo en el segmento sin acceso a Internet a hacer un uso adicional del servidor WSUS local. En esta configuración, nuestras estaciones de trabajo con Windows 10 funcionaron completamente, pero las máquinas con Windows Server 2016 aún fallaron constantemente.
Finalmente descubrimos que el AppPool asociado con el sitio WSUS tenía un "límite de memoria privada" demasiado pequeño para permitir que se completaran los análisis de Windows Server 2016. El límite predeterminado instalado por WSUS era algo así como 2,8 GB. La configuración sugerida es "0" (ilimitado). Ver el análisis de una máquina con Windows Server 2016 sugiere que cada máquina con Windows Server 2016 necesitará más de 6 GB de memoria durante la fase de "Escaneo" de una actualización. Hubo alguna evidencia de que nuestro servidor no "localizaría" este requisito de memoria en el disco, por lo que también aumentamos la memoria física. Una vez que la fase de escaneo se completó de manera consistente, los servidores comenzaron a descargar actualizaciones, pero los parches acumulativos del sistema operativo no se aplicaron constantemente. Usamos el comando Get-WindowsUpdateLog para intentar descubrir qué estaba sucediendo, pero el registro generado no señaló ningún problema. Revisamos otros registros y eventos, buscamos en Google el código de retorno del error de actualización (0x800705b4), pero no encontramos resolución ni sugerencias. Por desesperación, postulamos que la actualización expiró debido a la actividad de Windows Defender. Nota: Eventualmente instalaríamos estas actualizaciones manualmente descargándolas de Microsoft y cada vez que intentábamos instalarlas manualmente, se instalaban sin problemas.
Partiendo del supuesto de que estábamos lidiando con un tiempo de espera, desactivamos la "protección en tiempo real" de Windows Defender, lo que obviamente ralentizó la instalación. Una vez que se deshabilitó la protección en tiempo real, parece haber acelerado la instalación lo suficiente como para permitir que se complete. Esto se hizo durante una iteración, pero luego volvimos a habilitar la protección en tiempo real.
Finalmente la pregunta: ¿Existe alguna manera de aumentar el tiempo permitido para que Windows Update aplique sus actualizaciones? ¿O existen mejores prácticas sobre cómo hacer que estas grandes actualizaciones se apliquen automáticamente?